随着电脑的普及,出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒,他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里,做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。 下面主要列举说明一些常见抗杀软类病毒的需要注意的检测位置。
一:Run键值
典型病毒:AV终结者变种
目的现象:开机启动双进程坚守、关闭杀毒程序等。
检测位置:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
补充说明:该位置属于常规启动项,很多程序会写。
二:执行挂钩
典型病毒:大量恶意软件以及病毒均会写入
目的现象:杀毒软件难于清理、关闭杀毒程序等。
检测位置:
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
补充说明:很少有正常程序会写入该位置,病毒几率非常大。典型例外:瑞星反病毒软件
三:Appinit_dlls
典型病毒:机器狗新变种、磁碟机变种。
目的现象:安全模式也加载、关闭杀毒程序等。
检测位置:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppinit_Dlls
补充说明:很少有正常程序会写入该位置,病毒几率变态大。典型例外:AVG互联 安全套装
四:服务以及驱动:
典型病毒:灰鸽子变种
目的现象:难于发现与清理、关闭杀毒程序等。
检测位置:
HKLMSystemCurrentControlSetServices
补充说明:病毒写入底层服务与rootkits驱动,导致清除困难。
五:映像劫持
典型病毒:大多数AV病毒均会写入此位置
目的现象:简单粗暴地让某个特定文件名的文件无法执行
检测位置:
HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options
补充说明:被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染 病毒时,为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。
六:目前已知删除安全软件文件的检测位置
典型病毒:飘雪变种
目的现象:杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
补充说明:已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。
七:Boot.ini文件
典型病毒:磁碟机变种
目的现象:独占访问Boot.ini文件,导致未更新的grub重启删除工具失效。
检测位置:Boot.ini
补充说明:在Vista操作系统下对该项检测没有意义。
小结:
相关资源:菜鸟耍人专用-软件测试其他资源-CSDN文库
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!